Três anos atrás eu fiz uma auditoria de segurança para um grande site de comércio eletrônico. Quando a auditoria foi realizada, encontrei vários problemas graves de segurança que permitem o acesso a dados que não devem ser acessados após a conclusão de uma transação. Neste site existem vários riscos importantes. Primeiro, você pode ver pedidos chegando pelo sistema em tempo real; todas as transações são processadas manualmente por essa empresa. Se você visualizar uma transação, poderá ver o nome, o endereço e o destino de envio. Eu vejo dois pontos de abuso aqui, 1 - você pode simplesmente editar a nave para endereçar e ter a remessa enviada para você, e 2 - você pode ligar para o usuário como o pedido foi feito e fazer uma “confirmação do telefone” para obter acesso simplesmente às informações do cartão de crédito com engenharia social básica.
Você também pode, com um pouco mais de trabalho, descarregar as informações de CC e os números de ID do pedido e, em seguida, simplesmente combinar o ID do pedido e as informações do usuário.
Isso tudo é usando funções expostas em seu site e modificando alguns valores. Sim, estou sendo vago por um motivo.
O diretor de marketing desta empresa foi alertado sobre esses riscos há três anos e não fez nada para corrigi-los. Eu não duvido que se eu puder encontrar isso, os outros podem. Este site faz 88 mil transações por ano e tem todos os pedidos processados ainda em dados e acessíveis.
Então a questão ética ... o que eu faço? Minha empresa não se importa ... por isso não consigo ajuda. Se eu entrar em contato com o cara de marketing, ele continuará cobrindo sua bunda e as bundas de sua incompetente equipe interna de desenvolvimento (fusão a frio). Eu entro em contato com alguém mais alto? Eu vou ao redor da minha empresa? Eu apenas extraio os dados e os vendo para um concorrente menos as informações do CC? O que eu faço sabendo disso? É irritante para mim e eu não posso deixar passar. Este é apenas um dos muitos sites que conheço, mas a facilidade de acesso e o alto tráfego me fazem refletir muito sobre isso.
Tags untagged